[뉴스토마토 박재연 기자] 랜섬웨어를 구독하듯 사고파는 RaaS(Ransomware-as-a-Service) 모델이 확산되면서 보안 위협이 일상으로 번지고 있습니다. 한국인터넷진흥원(KISA)은 화이트 해커에게 포상금을 지급하는 ‘버그바운티’ 제도를 확대해 보안 강화에 나선 상황인데요. 다만 최근 5년간 포상금의 대부분이 정부 예산에서 충당된 것으로 나타나며 ‘세금 의존형 제도’라는 지적이 나옵니다. 

 

최근 랜섬웨어를 서비스처럼 구독하는 RaaS 모델이 확산되면서 초보자도 손쉽게 해킹에 가담할 수 있는 환경이 조성된 가운데 KISA는 보안 취약점을 신고한 화이트해커에게 포상금을 주는 '버그바운티' 제도의 범위를 확대하며 보안 강화에 힘쓰고 있습니다. 그간 공공기관·대기업 중심으로 운용되던 프로그램은 올해부터 '체험형 공동 운영제도'를 도입해 중소기업 대상 프로그램도 시범 운영하는데요. 해당 제도는 보안 전문성과 예산이 부족한 중소기업이 자체 버그바운티를 운영할 수 있도록 KISA가 포상금과 운영비를 지원하는 방식입니다. 

 

글로벌 기업들은 이미 버그바운티를 보안 체계의 핵심으로 삼아 막대한 보상금을 지급하고 있습니다. 애플은 최고 100만~500만달러(약 6억8000만원), 구글은 안드로이드·크롬 관련 취약점에 대해 최대 100만달러 수준의 포상금을 책정한 바 있는데요. KISA도 최근 5년간 약 16억원의 포상금을 지급하며 프로그램을 확장해온 가운데, 올해는 카카오모빌리티, 인공지능(AI) 사이버보안업체인 AI스페라 등 민간이 공동 운영사로 참여해 민·관 협력 모델을 넓히는 시도가 진행 중입니다. 

 

다만 예산 구조를 놓고선 논란이 불거졌습니다. 한민수 더불어민주당 의원실이 이달 제시한 자료에 따르면, 최근 5년간 지급된 포상금 16억원 중 약 90%인 14억4000만원이 KISA 예산에서 지출됐습니다. 이 때문에 ‘버그바운티 운영이 사실상 정부 예산에 크게 의존한다’는 지적이 제기됐는데요. 한 의원은 "미국, 유럽연합(EU) 등 해외에서는 이미 버그바운티가 활성화돼 있는데, 국내 기업들은 여전히 자발적 보안 투자 의지가 부족한 실정"이라고 덧붙였습니다. 

 

다만 이 같은 지적을 두고, 국회나 언론에서 보는 총액만으로는 실제 상황을 온전히 설명하기 어렵다는 의견도 나옵니다.  한 보안업계 관계자는 "KISA가 예산을 투입하는 경우는 대국민용 공공 소프트웨어 등 사회적 파급력이 큰 영역에 집중되기 때문에 단일 항목으로는 금액이 크게 나올 수 있다"며 "반대로 특정 기업의 제품·서비스에 대한 취약점 점검은 기업이 상당한 규모의 포상금을 지급하는 사례도 적지 않다"고 설명했습니다. 정부 예산이 많이 투입된 항목의 경우 '공익적 성격'이 강해 상대적으로 예산 규모가 커 보일 수 있다는 주장입니다. 

 

박재연 기자 damgomi@etomato.com